PROTECCIÓN DE DATOS: IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ADMINISTRACIÓN DE FINCAS

Publicado el por Deja un comentario

La información es un valioso activo del que depende el buen funcionamiento de una organización. En un despacho de administración de fincas cobra especial relevancia al tratar de modo sistemático y habitual datos personales de una pluralidad de interesados.

VICENTE GÓMEZ LOUREDA -Administrador de Fincas colegiado-

Mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de negocio, proteger los derechos y libertades fundamentales de los interesados, preservar y mejorar la reputación de nuestro despacho profesional.

Conforme a lo dispuesto en el artículo 5.1.f) del RGPD, los datos personales serán tratados de tal manera que se garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento -«principios de integridad y confidencialidad»-

En el RGPD y en la LOPD y GDD, se consagra el Principio de Responsabilidad Proactiva, por el cual el responsable y encargado de tratamiento serán quienes deberán en todo momento de acreditar el cumplimiento normativo en una doble vertiente, la legal/organizativa, y de seguridad de la información.

“La organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios: económicos, patrimoniales o reputacionales”

PRINCIPIO DE RESPONSABILIDAD PROACTIVA

Adoptar una actitud proactiva debe de tener como resultado un doble objetivo:

  1. Poder acreditar ante la Autoridad de Control -Agencia Española de Protección de Datos-, en el supuesto de ser requerido para ello, que se han adoptado las medidas óptimas para el cumplimiento de la normativa vigente en protección de datos.
  2. Y poder acreditar ante los interesados -propietarios/inquilinos-, que en el desempeño de nuestra actividad profesional utilizamos unos estándares normativos y organizativos, así como la implantación de unas medias de seguridad válidas para asegurar la integridad, la confidencialidad y la disponibilidad de los datos de carácter personal en todos los procesos de su tratamiento. Este segundo objetivo responde a un criterio reputacional, a una mejor percepción, por parte de los interesados, en como son tratados y protegidos sus datos personales

Independientemente del volumen de datos que trate un Administrador de Fincas colegiado, para dar cumplimento a este doble objetivo deberá implantar un Sistema de Gestión de Seguridad de la Información en su despacho profesional, y así dar cumplimiento al principio de Responsabilidad Proactiva,  recogido en el Considerando 74 y en los artículos 5.2 y 24 del RGPD.

PROTEGER NUESTRA ORGANIZACIÓN

La mayor parte de la información que se trata en una administración de fincas reside en equipos informáticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de información. Pero, al mismo tiempo, una cantidad considerable de información se trata en soportes físicos -principalmente papel-, y forman parte de ese sistema de información.

Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar a la disponibilidad de nuestra información y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos.

“Debemos observar la protección de los datos personales de nuestros clientes como un activo fundamental que hay que proteger”

Por otra parte, se encuentran los riesgos lógicos relacionados con la propia tecnología. Hackers, robos de identidad, spam, virus, robos de información o espionaje industrial, entre otros,  pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.

Para proteger a nuestras organizaciones de todas estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. Para ello debemos establecer unos procedimientos adecuados e implementar controles de seguridad basados en la evaluación de los riesgos y en una medición de su eficacia.

Un Sistema de Gestión de Seguridad de la Información -SGSI en adelante-, basado en la norma UNE-ISO/IEC 27001, es una herramienta o metodología sencilla y de bajo coste, que cualquier administración de fincas puede utilizar.

Un SGSI permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de su organización. Es decir, es una metodología que debe estar en continua evolución. Precisamente esa es la base de cualquier Sistema de Gestión de Seguridad de la Información. Por ello, para su implantación utilizaremos el modelo PDCA, un modelo dividido en cuatro fases en el que finalizada la última y analizados sus resultados se vuelve a comenzar de nuevo la primera.

SISTEMA DE SEGURIDAD DE GESTIÓN DE LA INFORMACIÓN

Para implantar y desarrollar esta metodología en una administración de fincas, respetando cada uno de los ciclos del modelo PDCA, y teniendo presente que variará en función de cada despacho, podría plantearse un Sistema de Gestión de Seguridad de la Información con el siguiente esquema:

PROTECCION D CUADRO

  1. Planificar -Plan-: Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar.
  2. Hacer -Do-: Se realizan los cambios para implantar la mejora propuesta.

Del análisis efectuado en la fase 1, obtendremos riesgos y podremos implantar las salvaguardas o medidas correctoras adecuadas.

  1. Controlar o Verificar -Check-: Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados.

Es conveniente la realización de auditorías internas, tanto normativas como de seguridad de la información, que indiquen la métrica de cumplimiento de las salvaguardas propuestas.

  1. Actuar -Act-: Por último, una vez finalizado el periodo de la fase 3, se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora. El fin último es la implantación de una cultura de cumplimiento dentro de toda la organización y cada uno de los procesos, sin que suponga una alteración en el día a día de la organización, ni un coste económico de difícil asunción por parte de la organización.

Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla.

Una vez terminado el paso cuarto, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar.

DELEGADO DE PROTECCIÓN DE DATOS

Como se ha expuesto, independientemente del tamaño de la administración de fincas, una correcta implantación de un Sistema de Gestión de la Seguridad de la Información, exige la observancia de la metodología expuesta, siendo fieles al esquema propuesto por la UNE-ISO/IEC 27001, que podría dar lugar, si el Administrador de Fincas colegiado lo considera, a certificar su SGSI, dado que es certificable.

“Los daños se minimizan y la continuidad del negocio está asegurada, al establecer un umbral de riesgo asumible por la Administración de Fincas colegiado”

En este proceso cuenta con especial relevancia la intervención de la figura de un Delegado de Protección de Datos, que pueda supervisar, asesorar, y recomendar en cada una de las fases de implantación, coordinando sus conocimientos jurídicos y técnicos con las empresas de mantenimiento informático, servicios en la nube, software de gestión y otros prestadores de servicios.

Seguiré insistiendo que en una actividad profesional como la administración de Fincas, debemos observar la Protección de los Datos Personales de nuestros clientes como un activo fundamental que hay que proteger. Y que correctamente gestionado, al convertirse en un proceso de gestión metódico y controlado, aporta un beneficio directo a nuestro despacho.

En primer lugar, obtenemos una reducción de riesgos debido a la implantación y registro de controles sobre ellos,  los daños se minimizan y la continuidad del negocio está asegurada, al establecer un umbral de riesgo asumible por la Administración de Fincas.

En segundo lugar, se produce un ahorro de costes al racionalizar los recursos, no existiendo inversiones innecesarias producidas por desestimar o sobrestimar riesgos.

En tercer lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios -económicos, patrimoniales o reputacionales-

En cuanto lugar, mejora la imagen ante clientes, proveedores, colaboradores…, aumentando la confianza en nuestro despacho, y la reputación profesional.

 

 

Etiquetado con